BPFdoor: Çekirdek Seviyesinde Gelişmiş ve Çin Kaynaklı Tehdit
Telekom operatörleri, son dönemde keşfedilen BPFdoor adlı arka kapı (backdoor) yazılımıyla karşı karşıya. Rapid7 Labs’in 26 Mart 2026 tarihli “Sleeper Cells in the Telecom Backbone” raporuna göre, Çin bağlantılı hacker grubu Red Menshen (Earth Bluecrow), Linux çekirdek seviyesinde çalışan bu yazılımı kullanarak küresel telekom altyapılarına sızdı.
Çekirdek Seviyesinde Hayalet Operasyon
BPFdoor, işletim sisteminin en derin katmanına entegre olarak klasik güvenlik önlemlerinden kaçabiliyor. Linux’un meşru bir paket filtreleme aracı olan Berkeley Packet Filter (BPF) işlevi üzerinden faaliyet gösteriyor. Bu yöntem, güvenlik duvarları ve standart antivirüs yazılımlarını tamamen devre dışı bırakabiliyor. Rapid7 Siber İstihbarat Başkan Yardımcısı Christiaan Beek, “BPFdoor, geleneksel ağ izleri bırakmadan çekirdek seviyesinde çalışabiliyor ve altyapıya önceden konumlanıyor” ifadelerini kullandı.
Sihirli Paket ile Aktive Olan Arka Kapı (Backdoor)
BPFdoor’un pasif bekleyişi, önceden tanımlanmış “sihirli paket”ler ile tetikleniyor. Bu paketler sistemde görünmediği sürece yazılım tamamen sessiz kalıyor. Yeni varyantlar, tetikleme paketini şifreli HTTPS trafiğinin içine gizleyebiliyor ve yük dengeleyiciler ile proxy’leri istismar ederek komutları saklayabiliyor. Bu yöntem, saldırganların tespit edilmeden uzun süre erişimi sürdürmesine olanak tanıyor.
Telekom Protokollerine Sızma
Rapora göre BPFdoor, Asya ve Orta Doğu başta olmak üzere en az altı bölgede tespit edildi. Hedef ülkeler arasında Güney Kore, Hong Kong, Myanmar, Malezya ve Mısır yer alıyor. Yazılım, 4G ve 5G ağlarının kalbinde yer alan SCTP protokolü üzerinden abone davranışlarını ve kimlik bilgilerini gözetleyebiliyor. Eski sinyalizasyon protokolleri SS7 ve Diameter da hedefler arasında bulunuyor. Bu protokoller, ağ erişimi ve veri yönlendirme süreçlerinde kritik öneme sahip ve modern şifreleme ile kimlik doğrulama mekanizmalarından yoksun.
Yanal Hareket ve Kaçınma Teknikleri
Yeni BPFdoor varyantları, ICMP trafiğini kullanarak enfekte sistemler arasında iletişim kuruyor. Böylece yangın duvarlarının genellikle göz ardı ettiği protokoller üzerinden yatay hareket sağlanıyor. Trend Micro ve AhnLab araştırmaları, kontrolör bileşeni sayesinde ağdaki diğer sistemlere erişimin kolaylaştığını ve saldırganların izlerini silmek için özel komutlar kullandığını ortaya koyuyor.
Savunma ve Güvenlik Önlemleri
Geleneksel güvenlik önlemleri BPFdoor karşısında yetersiz kalıyor. Rapid7, Linux ortamlarında BPFdoor varyantlarını tespit eden ücretsiz tarama betiği yayınladı. Christiaan Beek, kurumlara “Sistemi yeniden güvenilir kılacak görünürlüğe sahip misiniz?” sorusunu sormayı öneriyor. ABD Federal İletişim Komisyonu (FCC) ise ulusal güvenlik gerekçesiyle yabancı üretim yönlendiricilerin ithalatını yasakladı.
Rapid7 Baş Bilim İnsanı Raj Samani, bu tür erişimin sadece bir şirkete değil, tüm iletişim katmanına yakın bir konumda olduğunu vurguluyor. Bu durum, erişimin değerini artırıyor ve tespit edilmesini ulusal öncelikli bir mesele haline getiriyor.
BPFdoor kampanyası, siber casuslukta yeni bir dönemi işaret ediyor. Artık sadece yazılım seviyesinde değil, işletim sisteminin çekirdeğine gömülen ve ağın meşru trafiğini kullanan, Çin kaynaklı görünmez tehditlerle karşı karşıyayız.
